維持VPN安全的最佳做法

虛擬專用網絡（VPN）允許用戶通過互聯網建立安全連接到另一個網絡。VPN概念通常是指將運行VPN客戶端軟件的端點連接到VPN服務器（連接到安全網絡）。

對于企業而言，VPN最初很流行，它可為旅途中或偶爾在家辦公的用戶提供對企業資源的安全訪問。對于大多數企業而言，通常只有小部分員工會出差或遠程工作，因此企業并沒有做好準備應對COVID-19疫情帶來的變化。其結果是，在疫情期間，很多企業繞過正常的渠道和最佳做法，建立了安全性較差的系統，例如對Linux或Windows服務器部署直接VPN訪問或使用消費級設備來承擔負載。

VPN端點安全、身份驗證和授權

VPN專注于啟用連接，而最初的概念并不提供端點安全性或用戶身份驗證。只要正確設置端到端隧道協議，就可以建立連接。盡管這對于單個用戶來已經足夠，但是大多數企業要求設備滿足現場環境中相同級別的要求。他們還要求在這些設備上對用戶進行身份驗證。

端點保護平臺以及端點檢測和響應系統在此級別的訪問中發揮了作用。這些系統使用戶設備免受惡意軟件和病毒的侵害，甚至可以確保連接到企業的系統達到最低軟件更新標準。這對于長時間在家里或其他不安全的地方工作的用戶而言尤其重要。

大多數主要的下一代防火墻（NGFW）系統和安全平臺都將VPN服務器功能與這種類型的訪問控制集成，甚至可添加多因素身份驗證（MFA）用于客戶端身份驗證和訪問。

VPN服務器安全

Windows和Linux平臺可以支持VPN服務，但是在大多數公司環境中不建議這樣做。典型的系統管理員沒有準備好應對直接將服務器暴露給外界帶來的安全問題。然而，即使系統管理員已做好相應準備，也應注意限制對VPN功能的使用并限制對服務器管理的訪問。

為了獲得更好的安全性，大多數主要的NGFW供應商支持企業級VPN服務，甚至某些較新的軟件定義的WAN和安全訪問服務邊緣產品都支持企業級VPN服務。對于這些類型的系統，VPN服務器功能被嵌入到強化的安全設備或系統中。

部署并記錄VPN安全策略

當企業擁有各種各樣的系統時，很難制定一致的訪問和安全策略。企業應先確保VPN系統遵循通用標準，再定義和實施策略，這樣做會更容易。

更先進的NGFW系統使用戶配置文件可以關聯安全組標記（SGT），安全組標記提供唯一標簽，其中描述用戶在網絡中被允許的特權。SGT術語來自思科，但是這種抽象級別在很多技術供應商中都可行，甚至可以使用思科的Platform Exchange Grid（現在是Internet工程任務組標準RFC 8600）以多供應商的方式工作。這個概念很重要，因為可以將策略應用于組，并且可以將用戶分配給組，從而可以增加策略控制層。

VPN安全挑戰

在遵循保護VPN的最佳做法時，同樣重要的是要了解相關的挑戰。

隧道分離。隧道分離是指遠程路由器或端點連接到多個網絡服務的功能。實際上，隧道分離通常是指對某些服務提供直接互聯網訪問，而為其他企業流量提供VPN隧道連接。一種常見的方法是為SaaS應用程序（例如Microsoft 365）啟用直接卸載功能，但要求對所有其他流量使用VPN隧道。

雖然隧道分離很流行，但它也有缺點。SaaS訪問是直接的，可以提高性能，但是這也可能成為攻擊和數據泄露的對象。安全規劃人員還應該意識到，在某些受到嚴格監管的環境中（例如受美國國防部標準約束的環境），應禁止隧道分離。

超時。企業還必須注意確保空閑會話超時-但這必須與UX（用戶體驗）保持平衡。啟動VPN超時的典型安全建議范圍為10到30分鐘。當企業可控制端點時，在不活動時間間隔（例如10分鐘）后要求屏幕鎖定也很重要。

超時還可以包括連接或身份驗證超時。對于多因素身份驗證，企業應增加這些超時的時間，以允許用戶有足夠的時間提供附加信息。典型范圍是60到90秒。